Зміст статті
ЩО ЦЕ ТАКЕ
Консультант з інформаційної безпеки з хорватської фірми Infigo Лука Мілкович (Luka Milkovi ć) розробив програму Dementia, яка повинна стати обов'язковим інструментом в арсеналі кожного хакера. Програма під Windows постійно стежить за появою сканера, який через відповідний драйвер знімає дамп пам'яті. Як тільки сканер виявлено, програма перехоплює зняття дампа і видаляє специфічні артефакти з пам'яті. Таким чином, вона втручається в процес зняття дампа пам'яті, змінюючи його вміст.
Dementia успішно справляється з приховуванням доказів від популярних інструментів для криміналістичної експертизи, таких як Moonsols Win32dd (тільки в режимі kernel-mode), Mandiant's Memoryze, ManTech MDD, FTK Imager і Winpmem.
НАВІЩО ЦЕ ПОТРІБНО
Програми для криміналістичної експертизи вміють витягати багато цінної інформації з оперативної пам'яті, в тому числі фрагменти відкритих раніше файлів, фрагменти шкідливого коду, цінні об'єкти, як активні, так і завершення: процеси, нитки, з'єднання, паролі PGP, інформацію про різної активності на комп'ютері . Правоохоронні органи в процесі розслідування покладаються на ці відомості як на реальні докази. Останнім часом аналіз RAM вважається майже таким же ефективним і надійним інструментом криміналістичної експертизи, як аналіз вмісту HDD.
Оскільки експерти-криміналісти почали використовувати спеціалізований софт, то з'явилося і контроружіе для захисту пам'яті від експертизи. Першими таким програмами були Haruyama і ShadowWalker, але вони вміють тільки блокувати пам'ять від сканування, переривати процес сканування або блокувати аналіз. Dementia продовжує їх традиції, але вперше програма здатна змінити вміст пам'яті, не зупиняючи процес сканування.
Схема зняття і аналізу дампа пам'яті програмами для криміналістичної експертизи ЯК ЦЕ ПРАЦЮЄ
Dementia може приховувати конкретні об'єкти в дампи пам'яті під операційною системою Windows. Схема зняття і аналізу дампа програмами для криміналістичної експертизи показана на малюнку.
Dementia перехоплює виклик NtWriteFile () і перевіряє, що цей виклик дійсно надійшов від програми зняття дампа пам'яті. У них є характерні ознаки, в тому числі специфічні аргументи NtWriteFile (), визначений контекст і специфічні значення FILE_OBJECT. Програма будує список всіх фізичних адрес в пам'яті, будь-яким чином пов'язаних з процесом, який потрібно приховати. Перед записом дампа пам'яті в файл вона прибирає цей процес зі списків процесів ActiveProcessLinks і SessionProcessLinks і стирає з дампа дані, які мають відношення до процесу: нитки, посилання, виділені області пам'яті (дескриптори VAD).
В принципі, Dementia не приховує свою активність в системі, так що програма для криміналістичної експертизи може визначити її наявність і вважати докази скомпрометовані. Криміналістам доведеться використовувати інші способи робити дампи пам'яті без спотворень з працюючої машини, припускає автор програми Мілкович.
Dementia протестована під 32-бітними операційними системами Windows XP, Windows Vista і Windows 7. Зараз автор працює над 64-бітної версією. Презентація Dementia на хакерській конференції CCC (28 грудня 2012 року): bit.ly/TJHdFz . Код Dementia повинен бути скоро опублікований тут , Автор обіцяв опублікувати його ще в січні.
